セキュリティ企業Zenity Labsが3月3日、Perplexity Cometなどのエージェントブラウザに影響する重大な脆弱性ファミリー「PleaseFix」を公開しました。攻撃者はAIエージェントを密かにハイジャックし、ローカルファイルへのアクセスや認証情報の窃取が可能になります。
PleaseFix脆弱性群の中でも「PerplexedBrowser」と呼ばれるサブファミリーには2つの異なる攻撃経路があり、いずれも間接的プロンプトインジェクション技術に起因しています。第1の攻撃経路はゼロクリックでエージェントを侵害し、ローカルファイルシステムへのアクセスとデータ流出を可能にします。エージェントはユーザーに通常通りの結果を返し続けるため、被害者は攻撃に気づきません。第2の攻撃経路では、攻撃者がエージェント権限を乗っ取り、1Passwordなどのパスワード管理ツールへのアクセスを悪用できます。個別のパスワードの窃取だけでなく、1Passwordアカウント自体の乗っ取りも可能です。
これらの脆弱性は、カレンダー招待などの日常的なワークフローに埋め込まれた悪意あるコンテンツによってトリガーされます。r/netsecでは「エージェントブラウザは攻撃対象面が広すぎる」との指摘が上がり、Hacker Newsでは「ルーチンワークフローに埋め込まれた悪意あるコンテンツ」への警告が議論されています。
Zenity LabsはPerplexityと1Passwordに責任ある開示を行い、Perplexityは公開前にブラウザ側のエージェント実行問題を修正しました。しかし、エージェントブラウザ全般に存在する構造的リスクは依然として課題です。